Nei mesi scorsi hanno destato scalpore gli attacchi informatici subiti dall’Azienda Ospedaliera Veronese e quello di un noto gruppo tessile veneto; telegiornali e stampa scritta hanno ripreso più volte le notizie suscitando preoccupazione nei cittadini, ma anche nelle aziende. In maniera molto sintetica, senza voler entrare nel merito dei fatti, entrambe le aziende si sono viste trafugare i dati informatici presenti nei propri archivi per poi ricevere, successivamente, la rivendicazione dell’attacco da parte dei “cyber” criminali, con tanto di richiesta di riscatto economico per non divulgare i dati sottratti.
Del resto, in un mondo sempre più dominato dalla tecnologia, queste casistiche potrebbero capitare ad imprese di ogni dimensione e settore, che si troveranno, pertanto, ad affrontare una minaccia sempre più presente: il ”cyber risk”.
Questo rischio si manifesta attraverso varie forme di attività criminali online, come violazioni dei dati, attacchi ransomware e phishing, che possono causare gravi danni e compromettere la sicurezza delle aziende.
Prima di proseguire con la mia narrazione, cerchiamo di capire insieme il significato dei termini “cyber risk” e “cyber security”; il primo è il rischio connesso al trattamento delle informazioni presenti sul sistema informatico, il secondo consiste nell’insieme di tecnologie, processi e misure di protezione, progettati ed adottati per mitigare il rischio di attacchi informatici. Pertanto, più le aziende adotteranno strategie di “cyber security”, più il rischio si andrà a mitigare.
Le conseguenze di un attacco informatico possono essere devastanti sia nel breve che nel lungo periodo; nell’immediatezza le vittime dovranno prendere tempestivi provvedimenti per tentare di contenere il danno, ripristinare i dati e il sistema informatico, nonché, gestire l’emergenza con appositi servizi di pronto intervento informatici. Tutti adempimenti che necessitano di tecnici altamente specializzati e costosi. Inoltre, l’azienda potrebbe trovarsi a dover affrontare spese derivanti da violazioni della privacy e delle normative sulla protezione dei dati sensibili, compresa la notifica agli interessati della violazione subita.
Gli attacchi informatici potrebbero anche causare interruzioni dell’attività produttiva, con conseguenti perdite finanziarie dovute alla riduzione o paralisi delle operazioni aziendali. Da non sottovalutare poi, il danno alla reputazione dell’azienda che potrebbe essere significativo, con anche possibili richieste di risarcimento da parte di terzi colpiti dalla divulgazione non autorizzata dei propri dati.
Per mitigare questi rischi, sempre più aziende stanno ricorrendo alla sottoscrizione di apposite coperture assicurative contro il “cyber risk”. Queste polizze offrono una protezione finanziaria contro le perdite economiche derivanti dagli attacchi informatici e possono fornire una rete di sicurezza in un contesto in cui le minacce digitali sono all’ordine del giorno.
Per renderci conto di quante sfaccettature dannose possa comportare un attacco informatico, analizziamo insieme, in maniera più tecnica, quali sono le principali coperture prestate da un’assicurazione contro il rischio da attacchi informatici.
Ripristino dati e sistema informatico: Per prima cosa, a seguito di un attacco informatico, potrebbe essere necessario stabilire e documentarne le cause, contenere il danno, decontaminare il sistema informatico dal malware che ha determinato il danno, ripristinare e configurare i dati ed il sistema informatico; nonché dover gestire l’emergenza tramite appositi servizi di pronto intervento informatico.
Spese derivanti da violazione della privacy e violazione di dati aziendali: A seguito di un attacco informatico potrebbe essere necessario dover sostenere oneri per le attività di investigazione circa l’origine e le circostanze dell’evento, ottemperare alle vigenti normative sulla protezione dei dati personali, compresa la notifica a persone fisiche e giuridiche, della violazione e/o della perdita attuale o potenziale di dati personali; inoltre sarà fondamentale attivare i servizi di monitoraggio del credito, del furto d’identità o dei social media.
Danni da interruzione dell’attività: Non è improbabile che l’attacco informatico possa causare un system failure, ossia una indisponibilità involontaria e non programmata del sistema informatico, comportando una riduzione o una paralisi totale dell’attività produttiva.
Danno reputazionale: Altro aspetto di fondamentale importanza, in seguito ad un attacco informatico, è quello di gestire e proteggere la propria reputazione, nel periodo immediatamente successivo alla prima comparsa sui mezzi di informazione, di un contenuto denigratorio o diffamatorio.
Responsabilità civile derivante da violazione della privacy, di dati aziendali e sicurezza della rete: Oltre ai danni diretti che possano colpire un’azienda è necessario considerare anche la possibilità di richieste di risarcimento da parte di terzi determinate dalla divulgazione non autorizzata di dati aziendali e/o personali contenuti nel sistema informatico posto sotto attacco e che la vittima non abbia potuto contrastare con conseguente alterazione, cancellazione, danneggiamento, accesso non autorizzato, divulgazione di dati archiviati nel sistema informatico di terzi.
Emerge quindi che le perdite finanziarie subite dall’azienda colpita, possono derivare, non solo dal costo di ripristino dei dati e del sistema informatico, ma anche dalla richiesta di risarcimento da parte di terzi e delle conseguenti ed eventuali spese di vertenza giudiziale. Tuttavia è importante sottolineare che le polizze di “cyber” assicurazione non sostituiscono le misure di sicurezza informatica e la gestione del rischio cibernetico, ma devono essere considerate come integrazione di una strategia più ampia di gestione del “cyber risk”, che comprende anche investimenti in tecnologie di sicurezza informatica, formazione del personale e sviluppo di procedure di risposta agli incidenti.
Oggi, un’azienda che voglia essere leader nel proprio settore ed evitare le conseguenze economiche di un attacco “hacker”, non deve sottovalutare l’importanza di affidarsi ad un consulente competente che sappia proporre la miglior soluzione assicurativa per la protezione dagli attacchi informatici.
